1. 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위한 처리는 정보주체의 권리 및 자유를 위해 본 규정에 따라 적정한 안전조치가 적용되어야 한다. 그러한 안전조치는 특히 데이터 최소화 원칙이 준수되도록 기술 및 관리적 조치를 이행해야 한다. 그러한 조치에는 가명처리 방식으로 그러한 목적들을 달성할 수 있다면 가명처리가 포함될 수 있다. 정보주체의 식별을 허용하지 않거나 더 이상 허용하지 않는 추가 처리를 통해 그러한 목적들을 달성될 수 있는 경우에는 그러한 방식으로 달성되어야 한다.
Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
(156) 공익상의 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계적 목적의 개인정보 처리는 본 규정에 따른 정보주체의 권리와 자유를 위해 적절한 안전조치의 적용을 받아야 한다. 이러한 안전조치는 특히 데이터 최소화의 원칙을 보장하기 위해 기술적 및 관리적 조치가 마련되어 있도록 보장해야 한다. 공익상의 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계적 목적의 추가적인 개인정보 처리는 (개인정보의 가명처리 등) 적절한 안전조치가 존재하는 경우로서, 컨트롤러가 정보주체를 식별할 수 없거나 더 이상 식별할 수 없는 개인정보를 처리하여 해당 목적을 충족시킬 가능성을 평가하였을 때 시행되어야 한다. 회원국은 공익상의 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계적 목적의 개인정보 처리를 위한 적절한 안전조치를 규정하여야 한다. 회원국은 특정 조건 하에서 정보주체를 위한 적절한 안전조치에 따라, 정보 제공에 관한 요건(information requirement) 및 공익상의 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 개인정보를 처리할 때 정정하고 삭제할 권리, 잊힐 권리, 정보를 이전하고 반대할 권리에 관한 세부사항 및 일부 적용제외 사항을 규정할 권한이 있어야 한다. 비례성 및 필요성의 원칙에 따라 개인정보의 처리를 최소화하려는 기술적 및 관리적 조치와 더불어, 특정 처리에서 추구하는 목적을 고려하여 적절한 경우, 정보주체가 상기의 권리를 행사하게 하기 위한 구체적인 절차가 이러한 조건과 안전조치에 포함되어 있을 수 있다. 과학적 목적으로의 개인정보 처리도 임상 실험에 관한 법률 등 기타 관련 법률을 준수해야 한다.
(157) 연구원들은 기록부(registries)로부터의 정보를 연결하여, 심혈관계 질환, 암, 우울증 등의 널리 알려진 의학적 상태에 대한 매우 귀중한 신지식을 얻을 수 있다. 기록부를 토대로 더 많은 인구를 이용할수록, 연구 결과는 향상될 수 있다. 사회과학 내에서, 기록부에 기반을 둔 연구를 통해 연구원들은 실업 및 교육 등 다수의 사회적 조건과 기타 삶의 조건간의 장기적 상관관계에 대한 필수 지식을 얻는다. 기록부를 통해 얻은 연구 결과는 지식 기반의 정책의 수립 및 시행을 위한 근거가 되고, 다수의 삶의 질을 높이며, 사회 서비스의 효율성을 개선시킬 수 있는 확고한 양질의 지식을 제공한다. 과학적 연구를 용이하게 하기 위해, 유럽연합 또는 회원국 법률에 규정된 적절한 조건 및 안전조치에 따라 과학적 연구의 목적으로 개인정보가 처리될 수 있다.
(158) 기록보존의 목적으로 개인정보가 처리되는 경우, 본 규정이 망자에게는 적용되지 않아야 한다는 점을 유념하여 기록보존 목적의 정보처리에도 본 규정을 적용해야 한다. 공익을 위한 기록을 보유한 공공기관, 공공기구 또는 민간기구는, 유럽연합이나 회원국 법률에 따라, 일반적인 공익을 위해 지속적 가치가 있는 기록에 대한 접근(access)을 획득, 보존, 평가, 조성, 기술(describe), 통지, 장려(promote), 유포 및 제공할 법적 의무를 지닌 서비스를 지녀야 한다. 회원국은 예를 들어, 과거 전체주의 국가 체제 하의 정치적 행위, 집단 학살, 홀로코스트 등의 비인도적 범죄, 또는 전쟁 범죄에 관한 특정 정보를 제공할 목적으로, 유지·보존의 목적을 위한 개인정보의 추가적 처리를 규정할 권한을 위임 받아야 한다.
(159) 과학적 연구 목적으로 개인정보가 처리되는 경우, 본 규정은 해당 정보처리에도 적용되어야 한다. 본 규정의 취지를 위해, 과학적 연구 목적의 개인정보 처리는 기술의 발전과 실증, 기초연구, 응용연구 및 민간 투자 연구 등을 포괄하는 광범위한 방식으로 해석되어야 한다. 또한, 유럽연합 기능에 관한 조약(TFEU) 제179조에 따라 European Research Area(ERA)를 유지보존하려는 유럽연합의 목적이 고려되어야 한다. 과학적 연구 목적에는 공중보건 분야에서 공익을 위해 시행된 연구도 포함되어야 한다. 과학적 연구의 목적으로 개인정보를 처리하는 특수성에 부합하기 위해, 과학적 연구 목적의 개인정보 공개(publication)나 다른 방식으로의 제공 등 특정 조건이 적용되어야 한다. 특히 보건 분야에서의 과학적 연구 결과가 정보주체의 이익을 위한 추가적 조치의 사유를 제공하는 경우, 이러한 조치를 고려하여 본 규정의 통칙이 적용되어야 한다.
(160) 역사적 연구 목적으로 개인정보가 처리되는 경우, 본 규정은 해당 정보처리에도 적용되어야 한다. 여기에는 본 규정은 역사 연구 및 계보학 목적의 연구에도 포함되어야 하며, 망자에게는 적용되지 않는다는 점을 유념해야 한다.
[15] Regulation (EU) No 536/2014 of the European Parliament and of the Council of 16 April 2014 on clinical trials on medicinal products for human use, and repealing Directive 2001/20/EC (OJ L 158, 27.5.2014, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2014:158:TOC
(162) 통계 목적으로 개인정보가 처리되는 경우, 본 규정은 해당 정보처리에도 적용되어야 한다. 유럽연합 또는 회원국 법률은 본 규정의 한도 내에서 통계 내용, 접근(access) 통제, 통계 목적으로의 개인정보 처리에 대한 세부사항 및 정보주체의 권리와 자유를 보호하고 통계의 신뢰성을 보장하기 위한 적절한 조치를 결정해야 한다. 통계 목적이란 통계 조사나 통계 결과를 작성하는데 필요한 개인정보의 수집 및 처리의 작업 일체를 의미한다. 그 통계 결과는 과학적 연구 목적 등 다른 목적을 위해 추가적으로 활용될 수 있다. 통계 목적은, 통계 목적으로의 정보처리 결과가 개인정보가 아니라 총계 데이터 (aggregate data)이며, 이 결과나 개인정보는 어떠한 특정 개인에 관한 조치나 결정을 지지하는데 활용되지 않는다는 점을 함의하고 있다.
(163) 유럽연합과 회원국 통계청이 유럽 및 회원국의 공식적 통계를 작성하기 위해 수집하는 기밀 정보는 보호되어야 한다. 유럽연합의 통계는 유럽연합 기능에 관한 조약(TFEU) 제338조(2)에 규정된 통계 원칙에 부합하여 개발, 작성 및 유포되어야 하고 회원국 통계 또한 회원국 법률을 준수하여야 한다. 유럽 의회 및 각료이사회 규정서 (EC) No 223/2009는 유럽연합 통계에 있어 통계의 신뢰성에 대한 추가 세부사항을 규정하고 있다 [16].
[16] Regulation (EC) No 223/2009 of the European Parliament and of the Council of 11 March 2009 on European statistics and repealing Regulation (EC, Euratom) No 1101/2008 of the European Parliament and of the Council on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities, Council Regulation (EC) No 322/97 on Community Statistics, and Council Decision 89/382/EEC, Euratom establishing a Committee on the Statistical Programmes of the European Communities (OJ L 87, 31.3.2009, p. 164). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2009:087:TOC
(EN)
(EN) Article 89 details the appropriate safeguards to process sensitive data for archiving, research, and statistics purposes under article 9 2) (j) and possible derogations to rights granted to individuals by the General Data Protection Regulation. There is indeed a legal exception allowing the processing of special categories of personal data. It must be provided for by a Union or Member State law and the law itself must meet certain conditions that I have already discussed in a previous commentary.
Appropriate safeguards under article 89 concern technical and organizational measures put in place by Member States and respecting the data minimization, proportionality, and necessity principles (recital 156). They may include the possibility of resorting to pseudonymization, where applicable, or further processing “which does not permit or no longer permits the identification of data subjects”. The measures involved must take into account the impact on individuals, like physical or psychological potential damages they might suffer.
Member States law may provide for derogations, in the case of scientific research, historical research or statistics, to the right of access (article 15), the right to rectification (article 16), the right to restriction of processing (article 18), and the right to object (article 21). It is possible to refuse to grant these rights to individuals only if respecting them would hinder or “seriously impair” the achievement of the desired goals, that is to say, conducting scientific or historical research or producing statistics.
(EN) […]
(EN) Sign in
to read the full text